Bewustwordingscampagnes

Transcriptie

1 Bewustwordingscampagnes - Rein de Vries - LBVD GvIB bijeenkomst 15 mei 2007

2 LBVD Consultancy Op het snijvlak van Mens, Organisatie en Techniek Delft, LBVD.nl

3 Agenda Behoefte (waarom?) Mogelijkheden voor AKTIE Sturing Vragen

4 Agenda Behoefte (waarom?) Mogelijkheden voor actie Sturing Vragen

5 Een hopeloze zaak? Informatiebeveiliging kent veel aspecten Méér dan techniek! Informatiebeveiligings-mix: 10% Techniek? 10% Organisatie? 80% Mens?

6 Roet in het eten Mens: complicerende factor Veel verschillende soorten, karakters, culturen, waarden, normen, etc. Je wilt van allen hetzelfde: Dat ze zich houden aan een oerwoud aan richtlijnen, voorschriften, regels, gedragscodes, afspraken, overeenkomsten, etc.!!!

7 Toverwoord Informatiebeveiligingsbewustzijn / Security Awareness Welke 'awareness' is waarbij cq. waarvan nodig???

8 ISO17799:2005 (1) Beheersmaatregel Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voorzover relevant voor hun functie. Baseline, deel van het beleid

9 ISO17799:2005 (2) 18 van de 133 beheersmaatregelen Dus bij meer dan 13% van de 'best practices' Effectieve marketing Aanvaarden van risico's Aanvaardbaar gebruik bedrijfsmiddelen Gevaren Gebruikers derde partijen

10 BSI - ITBPM Bedreigingen... Force Majeure Organisatorische tekortkomingen Technisch falen Menselijk falen Opzettelijk handelen

11 Bewustzijns-activiteiten De directie behoort plannen en programma's te initiëren om informatiebeveiligingsbewustzijn levend te houden (6.1.1). Coördinatie van informatiebeveiliging (6.1.2) Mogelijkheden te over...

12 Agenda Behoefte (waarom?) Mogelijkheden voor ACTIE Sturing Vragen

13 Mogelijkheden Posters Kalenders Puzzles Boekjes Training/Cursus Online leren Film Hack-demo Hebbedingen Bijeenkomsten Workshops Spellen Simulaties Gecontroleerde incidenten MysteryGuest Fake Etc. -> Veelal veel nadruk op aanreiken & zenden van informatie

14 Bericht / De Inhoud Gebruik van wachtwoorden, malware, , gebruik van internet, spam, shoulder surfing', afdanken van media, afdanken van papier, 'tailgating', toegangsbeveiliging, gebruik van software, waarde van de toegangspas, geheimhouding, omgaan met informatie, bezoekersregeling, incidentenprocedure, informeel tram/taxi/trein/terras-overleg, clear-desk, clear-screen, verantwoordelijkheden, taken, regels, richtlijnen, gedragscodes, enzovoorts...

15 Per situatie bepalen Omgevingen verschillen sterk High Churn Rate High Confidence High Value High Impact Bron: Technische oplossingen en security awareness, Koos Varkevisser, Informatiebeveiliging nr. 3, mei '07

16 Kalenders

17 Puzzles/Gadgets/Boekjes

18 Films (1) Een campagne van SURFnet en Kennisnet ter bevordering van het bewustzijn met betrekking tot computerbeveiliging.

19 Films (2) - daagt uit

20 Films (3) - heftig prikkelend

21 Films (4) University of Virginia UVA - subtiel

22 Films (5) Marketing!!! Basisbeginsel: Opleuken van de boodschap! Borging??? (vgl. reclame op tv) -> Laten ondervinden, voelen

23 MysteryGuest (1) Geregisseerd / gecontroleerd incident Fysieke Penetratietest Fysieke observatie Social Engineering Specifieke missie Insteek: meting of bewustwordingsactie?

24 MysteryGuest (2) Veelal zeer succesvol I.c.m. pentest, film, foto's

25 Agenda Behoefte (waarom?) Mogelijkheden voor AKTIE Sturing Vragen

26 Sturing Peiling vooraf -> 0-meting Samenstellen campagne Uitvoering campagne Peiling achteraf -> doel behaald???

27 0-meting -> Bepalen IST Fysieke observatie MysteryGuest Face-to-face interviews Online IB-peiling

28 Face-to-face interviews Doorvragen Emoties Vrije uiting Bewerkelijk en tijdrovend Bij voorkeur door een externe interviewer

29 Online IB-peiling (1) Online vragenlijst Kennis, attitude, gedrag Groot bereik Schat aan informatie Bewustmakend effect Doorlooptijd 1,5 2 maanden Zorgvuldigheid

30 Online IB-peiling (2) Vind je het zinvol om je wachtwoord eens in de zoveel tijd te wijzigen?

31 Online IB-peiling (3) Zou je je wachtwoord bekendmaken als de ICT-helpdesk er om verzoekt via de telefoon? Zeer onwaarschijnlijk Zeer waarschijnlijk

32 Online IB-peiling (4) Vrije beantwoording 1 Dus geen mogelijkheid om dit uit te laten zetten door de ict afdeling, wat nog wel eens gebeurt. (automatische vergrendeling)...ik probeer me maar voor te stellen wat we hier eigenlijk voor ongelofelijke geheimen hebben... (gevoelige informatie) Ben me er nu met deze vraag bewust van dat ik veel te weinig actie onderneem. (reageren op...) Security Officer??? (onbekendheid met term)

33 Online IB-peiling (5) Vrije beantwoording (2) Niemand kan weten wat je wachtwoord is dus mijn inziens zijn bovenstaande wachtwoorden allemaal goed. Misschien dat aabbccdd eerder te kraken is (goede wachtwoorden) Wij hebben een lijstje met alle adressen van de afdeling, met wachtwoorden e.d. Ook vanwege het SAP-en, ivm de hoge kosten zijn er 2 mensen op de afdeling die toegang hebben tot SAP (bekendmaken van je wachtwoord) Wij hebben hier allezes hetzelfde wachtwoord. (gebruik van wachtwoorden)

34 Workshops Leidinggevenden & IB 'Harde' confrontatie! Uitkomsten Face-to-face gesprekken Uitkomsten MysteryGuest (foto/video) Uitkomsten Online IB-peiling -> Vergelijking met Benchmarks Actieplan -> Wat, Door wie, Wanneer Top down

35 ???